7
Gruppenrichtlinien und DNS-Server
Hallo in die Runde,
stolpere heute über ein extrem seltsames Verhalten und komm nicht wirklich weiter, kurze Erläuterung:
Angefangen hat alles recht harmlos, bei einem User wurden Netzlaufwerke, die über eine GPO kommen, nicht zugewiesen.
Mittels manuellem Verbinden hat es geklappt, also Lese und Schreibrechte waren gesetzt, Test auf gpupdate /force und ich erhielt eine Fehlermeldung. (Die besagte kommt gleich)
Also bin ich auf einen von drei Domaincontrollern, und hab hier ebenfalls gpupdate /force gemacht, gleiches Problem.
Der Fehler kommt in das Event-Log so an:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\domain.local\SysVol\domain.local\Policies\{40E7ACCC-D73B-4421-A2AC-5F2499BBBB1A}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Protokollname: System
Quelle: GroupPolicy (MS)
Ereignis-ID: 1058
Der Domaincontroller ist auf Windows Server 2012, die anderen beiden nur auf Windows Server 2008 (jeweils kein R2)
Nun hab ich mehrere Tests durchgeführt und auch die DNS-Auflösung im Verdacht gehabt, entsprechend die Eintragungen in der Netzwerkkarte geprüft und korrigiert.
Aktuell hab ich nun das Gateway 192.168.4.253 und als DNS-Server 192.168.4.1 (ist zwar Loopback aber auf Position 1, da die anderen DNS-Server nach einer Umstellung entfallen sollen) und einen alten DNS-Server 192.168.4.31.
Wenn ich nun dcdiag /test:dns durchführe erhalte ich auf dem Domaincontroller keine Fehlermeldung und die Test laufen sauber durch.
Pinge ich in das Internet, erhalte ich reguläre Auflösungen - sieht soweit gut aus, also wollte ich mich dem Problem 1058 wieder weiter beschäftigen, das immernoch auftritt, und hab den Browser gestartet (auf dem DC) dort konnte die Suchseite noch geöffnet werden, aber jeder weiterführende Seite, läuft dann wieder ins Nirwana.
Also Prüfung auf DNS-Server - Überwachung gemacht, hier schlagen die beiden Tests generell FEHL.
Hab dann verschiedene Eintragungen in der NEtzwerkkarte geprüft, aber immer das selbe Ergebnis. Zwischendurch auch ipconfig /flushdns durchgeführt um nicht Ballast mit zuschleifen, auch kein positives Ergebnis.
Durch die Änderungen am DNS und Netzwerk hab ich den Fehler 4015 erledigt, jetzt ist es nur noch die 1058 - die sich nicht lösen lässt.
Nächster Ansatz war, die Gruppenrichtlinie MMC zu öffnen - dort in der Gesamtstruktur die Ermittlung durchzuführen. Hier erhalte ich wieder einen Hinweis:
Der Basisdomänencontroller wird noch mit alt-DC angegeben (hab das schonmal umstellen wollen, hat aber scheinbar nicht funktioniert)
Der neue DC steht mit Fragezeichen davor und dem Hinweis, das eine Replikation momentan ausgeführt wird (die wird aber ständig irgendwie ausgeführt)
der dritte DC hat einen Haken und wird als Synchron deklariert.
Jetzt ist die Frage, wie kann ich den Replikationsstatus prüfen und ggbfls. bereinigen - schätzungsweise löst sich damit dann auch der 1058er Fehler.
Vielleicht hat jemand eine Idee oder einen Ansatz (oder weiss was ich gerade konsequent überseh)
Fazit:
Fehler 1058 - Gruppenrichtlinie wird nicht angewendet, evtl. Replikationsfehler
DNS-Server rekursive Anfragen aus der Überwachung schlagen fehl.
stolpere heute über ein extrem seltsames Verhalten und komm nicht wirklich weiter, kurze Erläuterung:
Angefangen hat alles recht harmlos, bei einem User wurden Netzlaufwerke, die über eine GPO kommen, nicht zugewiesen.
Mittels manuellem Verbinden hat es geklappt, also Lese und Schreibrechte waren gesetzt, Test auf gpupdate /force und ich erhielt eine Fehlermeldung. (Die besagte kommt gleich)
Also bin ich auf einen von drei Domaincontrollern, und hab hier ebenfalls gpupdate /force gemacht, gleiches Problem.
Der Fehler kommt in das Event-Log so an:
Fehler bei der Verarbeitung der Gruppenrichtlinie. Der Versuch, die Datei "\\domain.local\SysVol\domain.local\Policies\{40E7ACCC-D73B-4421-A2AC-5F2499BBBB1A}\gpt.ini" von einem Domänencontroller zu lesen, war nicht erfolgreich. Die Gruppenrichtlinieneinstellungen dürfen nicht angewendet werden, bis dieses Ereignis behoben ist. Dies ist möglicherweise ein vorübergehendes Problem, das mindestens eine der folgenden Ursachen haben kann:
a) Namensauflösung/Netzwerkverbindung mit dem aktuellen Domänencontroller.
b) Wartezeit des Dateireplikationsdienstes (eine auf einem anderen Domänencontroller erstellte Datei hat nicht auf dem aktuellen Domänencontroller repliziert).
c) Der DFS-Client (Distributed File System) wurde deaktiviert.
Protokollname: System
Quelle: GroupPolicy (MS)
Ereignis-ID: 1058
Der Domaincontroller ist auf Windows Server 2012, die anderen beiden nur auf Windows Server 2008 (jeweils kein R2)
Nun hab ich mehrere Tests durchgeführt und auch die DNS-Auflösung im Verdacht gehabt, entsprechend die Eintragungen in der Netzwerkkarte geprüft und korrigiert.
Aktuell hab ich nun das Gateway 192.168.4.253 und als DNS-Server 192.168.4.1 (ist zwar Loopback aber auf Position 1, da die anderen DNS-Server nach einer Umstellung entfallen sollen) und einen alten DNS-Server 192.168.4.31.
Wenn ich nun dcdiag /test:dns durchführe erhalte ich auf dem Domaincontroller keine Fehlermeldung und die Test laufen sauber durch.
Pinge ich in das Internet, erhalte ich reguläre Auflösungen - sieht soweit gut aus, also wollte ich mich dem Problem 1058 wieder weiter beschäftigen, das immernoch auftritt, und hab den Browser gestartet (auf dem DC) dort konnte die Suchseite noch geöffnet werden, aber jeder weiterführende Seite, läuft dann wieder ins Nirwana.
Also Prüfung auf DNS-Server - Überwachung gemacht, hier schlagen die beiden Tests generell FEHL.
Hab dann verschiedene Eintragungen in der NEtzwerkkarte geprüft, aber immer das selbe Ergebnis. Zwischendurch auch ipconfig /flushdns durchgeführt um nicht Ballast mit zuschleifen, auch kein positives Ergebnis.
Durch die Änderungen am DNS und Netzwerk hab ich den Fehler 4015 erledigt, jetzt ist es nur noch die 1058 - die sich nicht lösen lässt.
Nächster Ansatz war, die Gruppenrichtlinie MMC zu öffnen - dort in der Gesamtstruktur die Ermittlung durchzuführen. Hier erhalte ich wieder einen Hinweis:
Der Basisdomänencontroller wird noch mit alt-DC angegeben (hab das schonmal umstellen wollen, hat aber scheinbar nicht funktioniert)
Der neue DC steht mit Fragezeichen davor und dem Hinweis, das eine Replikation momentan ausgeführt wird (die wird aber ständig irgendwie ausgeführt)
der dritte DC hat einen Haken und wird als Synchron deklariert.
Jetzt ist die Frage, wie kann ich den Replikationsstatus prüfen und ggbfls. bereinigen - schätzungsweise löst sich damit dann auch der 1058er Fehler.
Vielleicht hat jemand eine Idee oder einen Ansatz (oder weiss was ich gerade konsequent überseh)
Fazit:
Fehler 1058 - Gruppenrichtlinie wird nicht angewendet, evtl. Replikationsfehler
DNS-Server rekursive Anfragen aus der Überwachung schlagen fehl.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 240595
Url: https://administrator.de/contentid/240595
Printed on: April 20, 2024 at 03:04 o'clock
7 Comments
Latest comment
Nachtrag - der Registrywert verwaist auf die GPO für den WSUS-Client (kurz GPO_WSUSClient)
Diese GPO wurde vor 3 Wochen eingeführt um alle Server an den WSUS-Server zu binden (was auch normal funktioniert).
Die GPO ist eventuell nicht der Fehler, ich werde mal die GPO sichern und löschen und wieder frisch einbinden - mal sehen ob es was bringt.
Diese GPO wurde vor 3 Wochen eingeführt um alle Server an den WSUS-Server zu binden (was auch normal funktioniert).
Die GPO ist eventuell nicht der Fehler, ich werde mal die GPO sichern und löschen und wieder frisch einbinden - mal sehen ob es was bringt.
Also nachdem die GPO entfernt ist, läuft gpupdate /force durch und die Fehlermeldung 1058 ist weg.
Jetzt wäre nur die Frage, was eigentlich an dieser GPO so fatal ist, das die Computer damit ein Problem haben.
Jetzt wäre nur die Frage, was eigentlich an dieser GPO so fatal ist, das die Computer damit ein Problem haben.
Ich hatte auch so eine Fehlermeldung. Wenn ich mich richtig erinnere war die Berechtigung darauf falsch gesetzt. War das eine Computerrichtlinie? Falls ja, bei mir z.B. war von den Gruppenrichtlinien alles her richtig, aber auf der MSI war die Berechtigung nicht gesetzt. Somit konnte sie nicht übernommen werden.
Hoffe das gibt dir einen Anhaltspunkt.
Hoffe das gibt dir einen Anhaltspunkt.
Ja, die WSUS war ursprünglich nur eine reine Computerrichtlinie. Das mit der Berechtigung könnte ein guter Hinweis sein, werde das heute abend prüfen, wenn ich die Richtlinie wieder importiere.
So, die GPO_WSUSClient ist nun wieder importiert - ohne Veränderung, gpupdate durchgeführt und sie läuft ohne Fehler durch.
Das einzige was ich noch entdeckt hatte, das ähnliche Einstellungen aus dieser GPO in der Group Policy Domain Controller enthalten war, die hab ich dann entfernt und zwei andere GPO's die Einstellungen an den RDS-Hosts durchführen sollten auch entfernt, da diese ab 2012 normalerweise obsolet wurden.
Ich beobachte jetzt das ganze noch bis morgen, ob sich daran was ändert, aber scheinbar wäre dann das Fazit und Lösung wie folgt:
- Fehlerhafte GPO lokalisieren (mittels Registry-Editor und dem Registrywert aus der Fehlermeldung)
- GPO sichern, entfernen
- GPO wiederherstellen
Muss man eventuell nicht verstehen - hat aber funktioniert.
Das einzige was ich noch entdeckt hatte, das ähnliche Einstellungen aus dieser GPO in der Group Policy Domain Controller enthalten war, die hab ich dann entfernt und zwei andere GPO's die Einstellungen an den RDS-Hosts durchführen sollten auch entfernt, da diese ab 2012 normalerweise obsolet wurden.
Ich beobachte jetzt das ganze noch bis morgen, ob sich daran was ändert, aber scheinbar wäre dann das Fazit und Lösung wie folgt:
- Fehlerhafte GPO lokalisieren (mittels Registry-Editor und dem Registrywert aus der Fehlermeldung)
- GPO sichern, entfernen
- GPO wiederherstellen
Muss man eventuell nicht verstehen - hat aber funktioniert.
Ein paar Tage später und das Ergebnis ist, die GPO selbst scheint das Problem zu sein - jetzt nach einer Woche fangen die Computer mit dem Problem wieder an. Sobald sie entfernt ist, läuft alles normal.
Ich probier jetzt mal über einen anderen Domaincontroller die GPO auszurollen, auffällig ist, das der ursprünglich damit beauftragte Domaincontroller im Status der Replikation scheinbar hängen bleibt. Alle DC replizieren sauber, nur er selbst macht daraus eine Endlosschleife.
Ich probier jetzt mal über einen anderen Domaincontroller die GPO auszurollen, auffällig ist, das der ursprünglich damit beauftragte Domaincontroller im Status der Replikation scheinbar hängen bleibt. Alle DC replizieren sauber, nur er selbst macht daraus eine Endlosschleife.
Ich glaub ich hab es nun - die GPO selbst ist nicht das Problem aber wie "befürchtet" liegt es am DC - der ist ja ein Windows Server 2012. Nachdem ich nun die ganzen Rollen vom alten DC der noch ein Windows Server 2008 war auf den 2012 verlagert hatte, gab es noch ein Replikationsproblem, was durch das aktivieren der IPv6 und neu einladen im MMC der GPO der Betriebsinfrastruktur behoben war.
Danach die GPO wieder verknüpft und mittels gpupdate /force und gpresult /r geprüft, siehe da die GPO ist da, der Fehler behoben und die Domäne steht nun bereit das ich sogar von 2008 auf 2012 hochstufen kann, sobald der alte DC entfernt ist.
Was für eine Hatz
Danach die GPO wieder verknüpft und mittels gpupdate /force und gpresult /r geprüft, siehe da die GPO ist da, der Fehler behoben und die Domäne steht nun bereit das ich sogar von 2008 auf 2012 hochstufen kann, sobald der alte DC entfernt ist.
Was für eine Hatz
